Diffusion non contrôlée des données personnelles

, Partager

La protection des données personnelles est un sujet qui n’en finit pas de faire l’actualité aux Etats-Unis. Il apparaît de plus en plus que cela concerne à la fois les risques liés à la fuite ou à la captation de données finissant dans les mains d’escrocs et la récupération de données par le gouvernement.
Au titre de la seconde catégorie, il est ainsi apparu récemment que AT&T a fourni des volumes de données considérables concernant les appels transitant par ses services à la National Security Administration (NSA), en lui donnant accès à sa base de données Daytona (300 teraoctets d’information sur les clients, du téléphone ou du DSL). Cela a conduit la Electronic Frontier Foundation à porter plainte contre AT&T (suivant le principe de la class action), grâce à des documents qui lui ont été transmis par un ancien employé de AT&T. Il était déjà apparu auparavant que AT&T avait collaboré avec la NSA dans l’installation d’équipement de surveillance dans ses centraux à San Francisco, ce qui avait motivé une première formulation de la plainte.
En parallèle, une enquête du Government Accounting Office (GAO, la cour des comptes américaines) a montré que les agences fédérales (dont les ministères de la justice et de la sécurité intérieure) ne prennent pas assez de précaution pour protéger les données personnelles, en particulier lorsqu’elles sont manipulées ou recueillies par des sous-traitants. Le GAO a également pointé du doigt l’IRS (le service de l’impôt) pour ne pas prendre des mesures suffisantes pour sécuriser sons système d’information. Dans l’ensemble de ces cas les administrations concernées n’appliquent pas la loi ou ne la font pas appliquer par leurs sous-traitants. La commission pour les affaires judiciaires de la chambre a conduit une audition le 4 avril dernier. La question qui est posée est finalement que, dans un système qui repose sur des sociétés privées gestionnaires et vendeuses de données, dont le revenu dépend de la masse de données collectées et des ventes associées, comment peut-on faire en sorte que les informations personnelles collectées et leur diffusion ne constituent jamais une violation des droits de la personne ? Deux projets de loi ont été déposés en octobre dernier pour y parvenir, en visant à obliger les sociétés à notifier à toute personne concernée la fuite de données personnelles et en fournissant à chacun accès à une description de l’information personnelle le concernant qui a été collectée (droit accompagné de la faculté de demander la rectification d’erreurs). Ils viennent de quitter le stade d’examen en commission pour être soumis au vote en séance plénière. Pendant ce temps, la situation de risque se généralise via les autorités locales…

Source :


- EFF files suit against AT&T over NSA spying
http://arstechnica.com/news.ars/post/20060406-6536.html
- EFF Files Evidence in Motion to Stop AT&T’s Dragnet Surveillance
http://www.eff.org/news/archives/2006_04.php#004538
- La première plainte, concernant la Californie
http://www.eff.org/legal/cases/att/att_complaint_amended.pdf
- Le rapport du GAO sur l’IRS, mars 2006
http://www.gao.gov/new.items/d06328.pdf
- Le constat du GAO sur la protection des numéros d’identification de la Social Security, mars 2006
http://www.gao.gov/new.items/d06586t.pdf
- Le constat du sur la protection des informations personnelles
http://www.gao.gov/new.items/d06609t.pdf
- L’audition à la chambre
http://judiciary.house.gov/oversight.aspx?ID=230
- Deux articles du Washington Post sur ce sujet
http://www.washingtonpost.com/wp-dyn/content/article/2006/04/04/AR2006040401727.html?referrer=email
http://www.washingtonpost.com/wp-dyn/content/article/2006/04/05/AR2006040500345.html?referrer=email
- Les projets de loi déposés fin 2005
http://thomas.loc.gov/cgi-bin/query/z?c109:H.R.3997:
http://thomas.loc.gov/cgi-bin/query/z?c109:H.R.4127:
- La situation dans les autorités locales
http://www.computerworld.com/securitytopics/security/privacy/story/0,10801,110453,00.html?source=NLT_PM&nid=110453

Rédacteur :

Jean-Philippe Lagrange Jean-Philippe.Lagrange@ambafrance-us.org

Voir en ligne : http://www.bulletins-electroniques….